Stantinko (malware)

Stantinko es un malware para sistemas Windows que crea una botnet controlada desde fuera.^[1]

Su red permanece activa desde 2012, aunque fue detectado por primera vez en 2017 por ESET.^[1] Su objetivo principal son usuarios de Rusia, Ucrania, Bielorrusia y Kazajistán. Se estima que cuenta con aproximadamente medio millón de máquinas en su botnet.^[2]

Objetivo[editar]

El objetivo de este malware es ganar dinero.^[1] Para ello usa distintas técnicas:

Fraude de clicks. Consiste en imitar a usuarios legítimos de navegador que hace clicks en anuncios, para estafar a propietarios de sitios web que generan anuncios para que los presenten en otros sitios web y pagan una cantidad de dinero por cada visitante del sitio captado haciendo click en el anuncio (pago por clic).^[3]^[4]
Inyección de anuncios.^[3] Consiste en inyectar en las páginas web que visita el usuario publicidad de forma clandestina. Esta publicidad se puede rentabilizar mediante sistemas de (pago por clic) o (pago por instalación). Además, la publicidad puede ser incluso malvertising.
Intentar obtener acceso a cuentas de administrador en sitios basados en Joomla y WordPress. Su ataque es de fuerza bruta, basado en una lista de credenciales; el objetivo es adivinar la contraseña probando decenas de miles de combinaciones distintas. Una vez que comprometen las cuentas, estas pueden ser revendidas en el mercado negro y luego ser utilizadas para redirigir a quienes visitan los sitios a exploit kits, o para alojar contenido malicioso.^[1]
Hacer fraude en las redes sociales. Es altamente rentable, ya que, por ejemplo, las recompensas rondan los 15 dólares por cada 1.000 likes en Facebook, aunque son generados por cuentas falsas controladas por una botnet. Los operadores de Stantinko desarrollaron un plugin que puede interactuar con Facebook. Es capaz de crear cuentas, dar Me gusta a una página o añadir un amigo. Para evadir el captcha de Facebook, usa un servicio anti-captcha online.El tamaño de la botnet es una ventaja, ya que permite a los operadores distribuir las consultas entre todos los bots, lo cual dificulta que Facebook detecte este tipo de fraude.^[1]
Desde 2018 ha incorporado funcionalidades de criptojacking para obtener beneficios mediante el minado de criptomonedas.^[2]^[5]

Funcionamiento[editar]

Este malware se clasifica como un troyano de puerta trasera modular para sistemas Windows que es controlado desde servidor de C&C para así formar parte de una botnet. El operador puede ejecutar cualquier cosa en el huésped infectado.^[6] Para ello Stantinko tiene un loader que les permite correr cualquier ejecutable de Windows enviado por el servidor de C&C directamente en memoria. Esta funcionalidad es usada como un sistema de plugins muy flexible.^[1]

Para infectar un sistema usa el paquete de adware instalable Filetour. Engañan a los usuarios que buscan software pirata y los instan a descargar archivos ejecutables (ej. Torrents). Estos instalables instalan Filetour el cual instala de manera encubierta el primer componente de Stantinko, junto con malware y software potencialmente no deseado.^[1]^[7]

El malware está formado por varios componentes que se van instalando los unos a los otros. Para evitar la detección, muchos de estos componentes está ofuscados y algunos sólo existen en memoria, no en fichero. Los componentes, donde el anterior instala al siguiente (cadena de infección), son los siguientes:^[7]

Win32/Extenbro.DE. En los ejemplos encontrados este componente desencadena sus acciones solo si encuentra una IP rusa. Usa un algoritmo de cifrado personalizado para comunicarse en la red. Además de descargar e instalar el software para la siguiente etapa de infección, descarga e instala extensiones de navegador y un navegador especialmente diseñado para jugar pero que realmente es adware (Zaxar Game Browser).
Win32/TrojanDownloader.Stantinko. Su propósito es descargar e instalar el primer servicio persistente malicioso, el Plugin Downloader Service (PDS). Para evitar la detección crean varias variantes para realizar este componente. El código base es más o menos el mismo pero sobre él se realizan una serie de modificaciones. Este componente es instalado como un servicio, el cual permanece hasta que se ejecuta el dropper del Plugin Downloader Service. Este dropper desinstala el servicio.
El servicio persistente Plugin Downloader Service (PDS). Implementa un sistema flexible de plugins que permite cargar archivos en formato ejecutable en memoria. Su código está dividido en dos partes: el loader y una librería que contiene el código malicioso cifrado. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código de la librería maliciosa. La clave de cifrado es única por cada infección y consiste en una cadena resultante de la transformación del identificador de bot.

Se han encontrado distintas variantes de este componente. Todas tienen el mismo propósito pero se diferencian en que, para evitar su detección, simulan que son distintas herramientas legítimas open source. Para ello integran el código de la herramienta dentro de sí.

Se han encontrado distintos plugins de este servicio: para atacar paneles de administración de CMS (WordPress y Joomla), para instalar bot para administración remota (RAT), para instalar bot para hacer fraudes en Facebook, para quitar otro adware que se cree de la competencia (Zaxar Game Browser) y para realizar búsquedas masivas anónimas y distribuidas en Google para encontrar sitios web de Joomla y WordPress.

El servicio persistente Browser Extension Downloader Service (BEDS). Proporciona un sistema flexible de plugins para instalar extensiones maliciosas en navegadores tipo Chrome. Su código está dividido en dos partes: el loader y un código malicioso cifrado que se almacena en el registro de Windows. La clave de cifrado es única por cada infección y es el número de serie del volumen. El loader no contiene código malicioso y se encarga de descifrar y cargar en memoria el código malicioso.

Se han observado distintas variantes para implementar este servicio. Para evitar la detección, cada variante contiene un proyecto de software libre disponible en Internet y luego le añade su propio código.

Se ha usado este servicio para instalar extensiones que supuestamente eran de protección parental en el navegador pero que pueden ser configurados para hacer click fraud e inyección de anuncios ('Teddy Protection', 'The Safe Surfing')^[8] y para instalar bot que hace criptominado de monedas^[9]

Los dos servicios Windows persistentes (PDS y BEDS) se ejecutan al inicio del sistema. Cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Por lo tanto, para eliminar completamente la amenaza, ambos deben borrarse al mismo tiempo. Esto causa que el malware tenga un tiempo de vida más elevado en los sistemas infectados.

Referencias[editar]

↑ ^a ^b ^c ^d ^e ^f ^g Stantinko: campaña masiva de adware operando en secreto desde 2012. Frédéric Vachon y Matthieu Faou. welivesecurity.com. 20 de julio de 2017
↑ ^a ^b Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019
↑ ^a ^b Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017
↑ ¿Qué es click fraud o clic fraudulento?. zorraquino.com
↑ La red de bots Stantinko infecta a miles de PCs para minar criptomonedas. Portaltic EuropaPress. 26 de noviembre de 2019
↑ Stantinko Modular Backdoor Infected Over 500,000 Computers. Catalin Cimpanu. bleepingcomputer.com. 21 de julio de 2017
↑ ^a ^b Stantinko. Teddy Bear Surfing Out of Sight. Frédéric Vachon. ESET. Julio de 2017.
↑ Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017
↑ Stantinko: botnet que añade a sus actividades un módulo para minar criptomonedas. Vladislav Hrčka. welivesecurity.com. 28 de noviembre de 2019

Datos: Q97176133

[vachon-1] ↑ ^a ^b ^c ^d ^e ^f ^g Stantinko: campaña masiva de adware operando en secreto desde 2012. Frédéric Vachon y Matthieu Faou. welivesecurity.com. 20 de julio de 2017

[rgalvez-2] Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019

[paganini-3] Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017

[zorraquino-4] ¿Qué es click fraud o clic fraudulento?. zorraquino.com

[5] La red de bots Stantinko infecta a miles de PCs para minar criptomonedas. Portaltic EuropaPress. 26 de noviembre de 2019

[6] Stantinko Modular Backdoor Infected Over 500,000 Computers. Catalin Cimpanu. bleepingcomputer.com. 21 de julio de 2017

[teddybear-7] Stantinko. Teddy Bear Surfing Out of Sight. Frédéric Vachon. ESET. Julio de 2017.

[8] Stantinko botnet was undetected for at least 5 years while infecting half a million systems. Pierluigi Paganini. securityaffairs.co. 22 de julio de 2017

[minar-9] Stantinko: botnet que añade a sus actividades un módulo para minar criptomonedas. Vladislav Hrčka. welivesecurity.com. 28 de noviembre de 2019

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]